Hacking ad alta quota

Bastano un codice d'attacco e un'app Android per dirottare un velivolo. Un ricercatore di sicurezza mette in guardia dalle vulnerabilità dei sistemi di volo degli aerei di linea e dalle comunicazioni non protette

Roma – La sicurezza delle comunicazioni sui voli commerciali? Da una recente presentazione al summit Hack In The Box di Amsterdam si evince che ce n’è davvero poca, e la colpa – così come altrove – va attribuita principalmente alla disarmante mancanza di adeguate protezioni allo scambio di dati su canali in formato digitale.

Responsabile dell’exploit è Hugo Teso, ricercatore presso N.Runs, che, lavorando assieme a un pilota di linea, ha passato tre anni ad acquistare e studiare sistemi di volo commerciali di seconda mano, scovare vulnerabilità nel software e sviluppare il codice necessario a sfruttarle.

Il risultato del lavoro di Teso è la coppia SIMON-PlaneSploit: il primo componente è il codice di attacco vero e proprio, mentre il secondo è una app per gadget Android con cui poter prendere il controllo dei sistemi di volo e dei display che comunicano i dati di volo al pilota.

Con questo sistema è possibile praticamente modificare “qualsiasi cosa riguardante la navigazione dell’aereo”, avverte Teso. La colpa di questa (relativa) facilità di hacking è da attribuire ai sistemi Automatic Dependent Surveillance-Broadcast (ADS-B) e Aircraft Communications Addressing and Reporting System (ACARS), canali in formato digitale con cui il sistema di volo aggiorna la propria posizione in relazione ai controlli di terra (ADS-B) e permette le comunicazioni tra piloti e controllori (ACARS).

Sia il primo che il secondo canale non sono in alcun modo cifrati, dice Teso, ed è quindi possibile intercettare le comunicazioni e interferire iniettando codice malevolo (“SIMON”, appunto), confondere i piloti e condurre ogni genere di operazione pericolosa contro i voli commerciali.

I dettagli di SIMON non sono noti, ma Teso sostiene di aver informato adeguatamente sia la Federal Aviation Administration che la European Aviation Safety Administration per porre rimedio alle vulnerabilità.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti